1. 管理者ガイド
  2. Oracle Key Vaultのこのリリースでの変更点

Oracle Key Vaultのこのリリースでの変更点

Oracle Key Vaultのこのリリースでは、大規模な企業でOracle Key Vaultの使用を強化する新機能が導入されています。Oracle Key Vaultリリース21.5には、次の新機能が導入されています。

Oracle Key Vaultリリース21.5での変更点

Oracle Key Vaultリリース21.5には、いくつかの新機能が導入されています。

親トピック: Oracle Key Vaultのこのリリースでの変更点

Oracle Key VaultからのSSHユーザー・キーを使用したSSH公開キー認証のサポート

Oracle Key Vaultリリース21.5以降では、Oracle Key Vaultのみに格納されているキー・ペアにより、SSHキーベースの認証を使用できます。

Oracle Key VaultのPKCS#11ライブラリでは、Oracle Key Vaultのみに格納されているSSHキー・ペアを使用した、SSH公開キー認証がサポートされています。Oracle Key VaultでSSHユーザー・キーを一元管理することで、キーのライフサイクルの管理が簡略化され、キー管理が可能になり、ポリシーの適用がさらに簡単になります。キーのローテーションや必要に応じたそれらの破棄などのアクションを一元的に実行できます。また、ローカル・ディスク上のSSHユーザー・キーのフットプリントに関連するリスクを最小限に抑えることができます。

関連項目

親トピック: Oracle Key Vaultリリース21.5での変更点

保存方針に基づく監査レコードの自動パージ

Oracle Key Vaultリリース21.5以降では、保存方針に基づいて古い監査レコードを自動的にパージできるようになりました。

Oracle Key Vault監査レコードによって使用されるディスク領域をより効率的に管理できるようになりました。また、それらが不要になったとみなされたときに手動で削除する必要はありません。保存方針に基づいて古い監査レコードを自動的にパージするように、Oracle Key Vaultを構成できます。たとえば、180日より前の監査レコードを自動的にパージする方針を構成し適用できます。

親トピック: Oracle Key Vaultリリース21.5での変更点

エンドポイント証明書をローテーションする機能

Oracle Key Vaultリリース21.5以降では、エンドポイントをローテーションして、エンドポイントの停止時間なしでその証明書の有効期限を延長できます。

Oracle Key Vaultリリース21.5では、エンドポイントをローテーションして、エンドポイントの停止時間なしでその証明書の有効期限を延長できます。以前は、これはエンドポイントを再エンロールすることでのみ実現できていました。必要に応じて、一度に複数のエンドポイントをローテーションすることもできます。この方法でのエンドポイント証明書のローテーションは、CAまたはサーバー/ノードの証明書ローテーション・プロセスとは無関係です。

関連項目

親トピック: Oracle Key Vaultリリース21.5での変更点

LDAPユーザーのエンドポイント権限およびエンドポイント・グループ権限のサポート

Oracle Key Vaultリリース21.5以降では、LDAPグループ・マッピングによってLDAPユーザーにエンドポイント権限およびエンドポイント・グループ権限を付与できます。

LDAPユーザーへの権限の付与は、LDAPグループ・マッピングを通じて実現されます。LDAPグループにエンドポイント権限またはエンドポイント・グループ権限をマップします。このグループのメンバーであるLDAPユーザーは、ログイン時に、マップされたエンドポイント権限またはエンドポイント・グループ権限を付与されます。

関連項目

親トピック: Oracle Key Vaultリリース21.5での変更点

ユーザー・アカウント管理

Oracle Key Vaultリリース21.5以降では、Oracle Key Vaultユーザーに対して、企業のユーザー管理セキュリティ・ポリシーを満たすようにユーザー・アカウント・プロファイル・パラメータを構成できます。

ユーザー・アカウント・プロファイル・パラメータにより、ユーザー・パスワードのルールと要件、およびOracle Key Vaultユーザーのアカウント・ロックアウト動作を管理します。これらの設定は、ローカルで作成されるOracle Key Vaultユーザーに適用されます。LDAPユーザーについては、ユーザー・アカウント管理ポリシーはLDAPディレクトリ・サーバーにおいて管理されます。

Oracle Key Vaultでは、パスワード・リセットによるユーザー・アカウントのロック解除もサポートされるようになりました。Oracle Key Vault管理者は、ユーザーのパスワードをリセットすることでユーザー・アカウントのロックを解除できます。

関連項目

親トピック: Oracle Key Vaultリリース21.5での変更点

重大度に基づくアラート分類

Oracle Key Vaultリリース21.5以降では、アラートは、管理しやすくなるように、それらの重大度レベルに基づいて分類されます。

Oracle Key Vaultでは、複数のタイプのアラートがサポートされています。Oracle Key Vaultにより、これらのアラートが、重大度レベル(CRITICAL、HIGH、MEDIUMおよびLOW)のいずれかに分類されるようになりました。Oracle Key Vault管理コンソールのホーム・ページに、未解決のアラートが重大度順に表示されるようになりました。Oracle Key Vault管理者が、運用継続のために早急な対処が必要な最重要アラートを、簡単に特定できるようになりました。

関連項目

親トピック: Oracle Key Vaultリリース21.5での変更点

「Endpoint Metadata Report」での「Endpoint Group Membership」列の表示

Oracle Key Vaultリリース21.5以降では、「Endpoint Metadata Report」に、「Endpoint Group Membership」の列が追加されました。

「Endpoint Metadata Report」には、エンドポイント情報およびデプロイメント構成の詳細が表示されます。このメタデータ・レポートに、「Endpoint Group Membership」列が表示されるようになりました。

エンドポイント・グループ・メンバーシップ情報は、次の場合に役立ちます。
  • エンドポイント・グループへの権限の付与
  • エンドポイント・ローテーションの実行

親トピック: Oracle Key Vaultリリース21.5での変更点

最後のエンドポイント・アクティビティの時間を特定する機能


Oracle Key Vaultリリース21.5以降では、Oracle Key Vault管理コンソールで「Endpoints」ページを確認することで、エンドポイントがいつまでアクティブだったかをすばやく特定できます。

Oracle Key Vaultリリース21.5以降では、Oracle Key Vault管理コンソールから、「Endpoints」ページに移動しエンドポイントの「Last Active Time」列を確認することで、そのエンドポイントがいつまでアクティブだったかを特定できます。この情報は、どのエンドポイントが使用されていないかをすばやく特定するために役立ちます。以前は、この情報は、エンドポイント・アクティビティ・レポートからのみ(具体的には、マルチマスター・クラスタにおいて、クラスタのすべてのノードからのすべてエンドポイント・アクティビティ・レポートを統合することで)入手できていました。

関連項目

親トピック: Oracle Key Vaultリリース21.5での変更点

OCIマーケットプレイス・イメージのUEFIサポート

Oracle Key Vaultリリース21.5以降では、Oracle Key Vault OCIマーケットプレイス・イメージはUEFIモードでのみ入手できます。

旧バージョンのOracle Key VaultのOCIマーケットプレイス・イメージでは、引き続き、BIOSモードが使用されています。

親トピック: Oracle Key Vaultリリース21.5での変更点

CA証明書の有効期限とサーバー/ノード証明書の有効期限のアラートの分離

Oracle Key Vaultリリース21.5以降では、CA証明書の有効期限、およびサーバー/ノード証明書の有効期限について、アラートを別々に構成できます。

これらのアラートに対して別々のしきい値を構成できます。デフォルトのしきい値は、CA証明書の有効期限については90日であり、サーバー/ノード証明書の有効期限については60日です。別々のアラートにすることで、サーバー/ノード証明書のローテーションをいつ実行する必要があるかを判断しやすくなります。サーバー/ノード証明書のローテーションは、CA証明書のローテーション(Oracle Key Vaultデプロイメント全体に影響し、複数の段階からなる)とは対照的に、ノードごとに実行される短時間のプロセスです。以前は、CA証明書またはサーバー/ノード証明書の有効期限が、構成されているサーバー証明書有効期限しきい値以内になったときに発生するアラートの種類は、「Oracle Key Vault Server Certificate expiration」の1つのみでした。

親トピック: Oracle Key Vaultリリース21.5での変更点

Oracle Key Vaultリリース21.4での変更点

Oracle Key Vaultリリース21.4には、このガイドに影響する新機能が導入されています。

親トピック: Oracle Key Vaultのこのリリースでの変更点

Oracle Key Vaultからの対称暗号化キーの抽出を制御する機能

Oracle Key Vaultリリース21.4以降では、対称キーの保護を強化するために、これらのキーがOracle Key Vaultから離れるのを制限できるようになりました。

この制限は、対称キーのキー・マテリアルに適用されますが、そのメタデータには適用されません。たとえば、透過的データベース暗号化(TDE)マスター暗号化キーはOracle Key Vaultに格納されます。エンドポイントでキーを復号化する必要がある場合、PKCS#11ライブラリは、Oracle Key VaultからTDEマスター暗号化キーをフェッチして復号化を実行します。対称キーがOracle Key Vaultから離れないことがサイトで必要とされる場合は、操作中にこれらのキーがOracle Key Vault内にとどまるように構成できます。この場合、PKCS#11ライブラリは、暗号化されたデータ暗号化キーをOracle Key Vaultに送信します。続いて、Oracle Key Vault内で復号化が実行され、その後、平文のデータ暗号化キーがPKCS#11ライブラリに返されます。TDEマスター暗号化キーがOracle Key Vaultからの持ち出しを制限されている場合、つまり、そのキーがOracle Key Vaultから抽出できない場合、Oracle Key VaultのPKCS#11ライブラリは、Oracle Key Vault内で暗号化と復号化の操作を実行します。

Oracle Key Vaultから対称暗号化キーを取得(抽出)できるかどうかを制御するには、Oracle Key Vault管理コンソール、RESTfulサービス・ユーティリティ・コマンド、C SDK APIおよびJava SDK APIを使用できます。

関連項目

親トピック: Oracle Key Vaultリリース21.4での変更点

証明書管理の機能拡張

Oracle Key Vaultリリース21.4以降、証明書の管理に加えられたいくつかの機能拡張を利用できます。

機能拡張は次のとおりです。

  • 外部証明書署名機関によって署名されたOracle Key Vault認証局(CA)証明書の使用のサポート: サード・パーティの署名機関によって発行されたCA証明書を持つことを選択できます。このオプションを実施するには、最初に証明書署名リクエスト(CSR)を生成し、そのCSRが外部署名機関によって署名された後、その署名済CAをOracle Key Vaultにアップロードします。その後、Oracle Key Vault上のすべての証明書(エンドポイント証明書、およびOracle Key Vaultマルチマスター・クラスタ・ノード間の通信に使用されるもの)が新しいCAによって再発行されるように、CA証明書のローテーションを実行する必要があります。以前のリリースでは、Oracle Key Vault CA証明書は常に自己署名されていました。
  • Oracle Key Vault自己署名ルートCA証明書の有効期間を構成する機能: Oracle Key Vault自己署名CAの証明書の有効期間を構成できます。新しい有効期間は、CA証明書のローテーションが次に実行されたときに有効になります。以前は、この値は固定されていて変更できませんでした。
  • マルチマスター・クラスタ環境で、Oracle Key Vault CA証明書のローテーション・プロセス中にエンドポイントがローテーションされる順序を設定する機能: この機能拡張により、CA証明書のローテーション中にエンドポイントがローテーションされる順序を構成できます。このリリース以降、エンドポイントはデフォルトで、エンドポイント証明書の有効期限の順にローテーションされます(つまり、最も早く期限切れになるものが最初にローテーションされます)。CA証明書のローテーションを開始する前に、クラスタ・サブグループの優先度リストを指定してエンドポイントのローテーションを順序付けすることもできます。これにより、CA証明書のローテーション・プロセス中に、優先度リストの上位のクラスタ・サブグループに属するエンドポイントが、優先度の低いクラスタ・サブグループのエンドポイントよりも前にローテーションされます。以前のリリースでは、CA証明書のローテーションが実行されるときに、エンドポイントはランダムにローテーションされていました。
  • Oracle Key Vault CA証明書のローテーション中にローテーションされるエンドポイントのバッチ番号を構成する機能: CA証明書のローテーション・プロセスの特定の時点でUpdating to current certificate issuer状態になることができるエンドポイントの数を構成できます。この値は、Oracle Key Vault構成のエンドポイント数に基づいて構成できます。以前は、この値は静的であり、リリースによって異なりました(たとえば、Oracle Key Vaultリリース21.3では最大15個のエンドポイントがこの状態になることができました)。
  • Oracle Key Vaultサーバー証明書およびノード証明書をローテーションする機能: このリリース以降、Oracle Key Vaultシステム(マルチマスター・クラスタ環境のクラスタ・ノード、またはプライマリ環境とスタンバイ環境)間の通信、およびOracle Key Vaultシステムとそのエンドポイントの間の通信に使用される証明書は、サーバー証明書(スタンドアロン環境またはプライマリ/スタンバイ環境の場合)およびノード証明書(マルチマスター・クラスタ環境の場合)と呼ばれるようになりました。この機能拡張により、Oracle Key Vault CA証明書、サーバー証明書およびノード証明書について異なる有効期間を選択できるようになったため、操作の柔軟性が向上しています。これにより、CA証明書のローテーション・プロセス全体を実行しなくても、サーバー証明書とノード証明書を必要に応じて何度でもローテーションできます。

関連項目

親トピック: Oracle Key Vaultリリース21.4での変更点

古いOracle Key Vaultバックアップのポリシー・ベースの自動パージのサポート

Oracle Key Vaultリリース21.4以降では、ローカルのOracle Key Vaultバックアップを手動で削除することも、1つ以上のリモート・バックアップの削除をスケジュールするポリシーを作成することもできます。

リモート・バックアップ先のサーバーでOracle Key Vaultバックアップによって消費されるディスク領域をより効率的に管理できるようになり、それらが不要になったとみなされたときに手動で削除する必要はありません。ポリシーに基づいてリモート・バックアップ先から古いバックアップを自動的にパージするようにOracle Key Vaultを構成できます。たとえば、バックアップが最新の10個のバックアップに含まれないかぎり、30日より古いバックアップを自動的にパージするポリシーを構成してリモート・バックアップ先に適用できます。さらに、ローカルのOracle Key Vaultバックアップを手動で削除できるようになりました。

関連項目

親トピック: Oracle Key Vaultリリース21.4での変更点

Oracle Key Vaultの管理ロールの付与を制限する機能

Oracle Key Vaultリリース21.4以降、Oracle Key Vaultの管理ロールの権限受領者が他のOracle Key Vaultユーザーにそのロールを付与できるかどうかを制御できます。

以前のリリースでは、Oracle Key Vaultの管理ロール(システム管理者、キー管理者および監査マネージャ)を、そのロールを現在持っているユーザーが別のOracle Key Vaultユーザーに付与できました。このリリース以降、管理者がそのロールを別のユーザーに付与するときに、管理者は、権限受領ユーザーがさらにそのロールを他のユーザーに付与する方法を制限できます。この機能拡張により、全体的なユーザー・セキュリティが向上するとともに、最小権限に関する適切な手法に従うことができます。

関連項目

親トピック: Oracle Key Vaultリリース21.4での変更点

Oracle Key Vault監査証跡のクライアントIPアドレス

Oracle Key Vaultリリース21.4以降、Oracle Key Vault監査証跡には、Client IPという1つの新しいフィールドがあります。

Oracle Key Vault監査証跡には、操作を実行したエンティティの名前とタイプ、操作が実行された時刻、操作が実行されたノード、操作の結果などの情報を取得するフィールドが含まれています。Client IPフィールドの追加により、ユーザーが、操作が実行された場所(特にクラウド環境内)をより適切に検索できます。

関連項目

親トピック: Oracle Key Vaultリリース21.4での変更点

SNMPによる追加のモニタリング情報のサポート

Oracle Key Vaultリリース21.4以降、SNMP nsExtendOutputFull MIBベース変数を使用して追加のモニタリング情報を参照できます。

nsExtendOutputFull MIBベース変数は、次の値を返すようになりました。

  • Oracle Audit Vaultモニター・ステータス
  • Oracle Audit Vaultエージェント・ステータス
  • サーバーまたはCA証明書の有効期限情報(どちらの証明書が早く期限切れになるか)

関連項目

親トピック: Oracle Key Vaultリリース21.4での変更点

Oracle Key Vaultリリース21.3での変更点

Oracle Key Vaultリリース21.3には、このガイドに影響する新機能が導入されています。

親トピック: Oracle Key Vaultのこのリリースでの変更点

Oracle Audit VaultとOracle Key Vaultの統合のための機能拡張

Oracle Key Vaultリリース21.3以降、Oracle Audit VaultとOracle Key VaultのOracle Audit Vaultコンポーネントの統合は、より安全で簡単に実現できるようになりました。

この機能拡張には、次の機能の変更が含まれています。

  • システム管理者ロールおよび監査マネージャ・ロールの変更: システム管理者ロールを持つユーザーは、Oracle Audit Vault統合を実行できなくなりました。かわりに、職務をより適切に分離するために、監査マネージャ・ロールが付与されているユーザーのみが統合を実行できます。以前のリリースでは、システム管理者ロールを持つユーザーのみが統合を実行できました。ただし、システム管理者ロールを持つユーザーは、Audit Vaultのモニタリング・プロセスがアクティブかどうかを確認できます。
  • 簡単な統合プロセス: 監査マネージャ・ロールを持つユーザーは、Oracle Key Vault管理コンソールを使用してすべてのOracle Audit Vault統合ステップを実行できるようになりました。以前のリリースでは、この統合を実行するために、Oracle Key Vault管理者はAudit Vaultエージェントのダウンロードやインストールなどのステップを手動で実行する必要がありました。

関連項目

親トピック: Oracle Key Vaultリリース21.3での変更点

高速リカバリ領域の領域使用状況のアラート

Oracle Key Vaultリリース21.3以降、Oracle Key Vaultの埋込みデータベースの高速リカバリ領域の領域使用状況が、構成されたしきい値を超えると、アラートが生成されます。

デフォルトでは、構成されたしきい値は70で、スタンドアロン、マルチマスター・クラスタおよびプライマリ/スタンバイ環境でアラートを使用できます。新しいアラートを使用すると、Oracle Key Vaultの組込みデータベースの高速リカバリ領域の領域使用率をより適切に監視できます。

関連項目

親トピック: Oracle Key Vaultリリース21.3での変更点

「Cluster Redo Shipping Status」のアラート・メッセージの変更

Oracle Key Vaultリリース21.3から、「Cluster Redo Shipping Status」のアラート通知メッセージが変更されています。

以前のリリースでは、REDO送信ステータスがアクティブ(稼働中)または非アクティブ(停止中)の場合にのみ、ユーザーにアラートが表示されていました。この情報に加えて、このメッセージで、クラスタ内のノードが読取り専用モードで動作しているのか、読取り専用モードでなくなったのかが示されるようになりました。

関連項目

親トピック: Oracle Key Vaultリリース21.3での変更点